This page has been robot translated, sorry for typos if any. Original content here.

Nous élevons la facturation VPN + UTM5 sur Win2003



  • 1. Installer et configurer le routage et l'accès à distance
  • 2. Installer UTM
  • 3. Configurez UTM
  • 4. Fichiers


  • Par conséquent, vous devez savoir où commencer pour implémenter l’ensemble VPN + UTM5 sur Windows Server 2003. Avant de commencer à configurer RASS, vous devez vérifier si le service d’authentification Internet (IAS) est installé. Pour vérifier cela, vous devez aller à l’installation / désinstallation des programmes sur le panneau de commande de la section INSTALLATION DE COMPOSANTS WINDOWS et voir le contenu des composants des services de mise en réseau. Si ce service est installé, décochez-le (désinstallez). Ce service est quelque chose comme Windows-RADIUS. Il est clair que 2 serveurs RADIUS (UTM-RADIUS et Windows-RADIUS) ne peuvent pas fonctionner sur le même ordinateur, car utilisez les mêmes ports pour le fonctionnement. En conséquence, lorsque IAS est installé, UTM-RADIUS ne démarre tout simplement pas.

    Le service World Wide Web, qui fait partie du composant Windows, le serveur d'applications, du groupe des services Internet (IIS), est un autre service qui nuit au bon fonctionnement d'UTM, ou plutôt d'Apache. Il doit également être désinstallé, sinon Apache ne démarrera pas, car Ce service utilise le port 80. Si le serveur nécessite un serveur Web, le même Apache peut le remplacer avec succès en utilisant le port 80. UTM fournit aux utilisateurs un accès aux statistiques via le protocole HTTPS et se connecte au port 443 avec un cryptage basé sur un certificat. Vous pouvez bien sûr installer Apache sur le port 8080, mais pourquoi y a-t-il 2 serveurs WEB sur un ordinateur?

    SQL Server et MySQL ne doivent pas être installés sur le serveur.
    Après avoir désinstallé ces services, vous pouvez installer et configurer RASS.

    1. Installer et configurer le routage et l'accès à distance


    1.1. Exécutez l'assistant d'installation RASS.

    1.2. Nous abandonnons tous les schémas standard et sélectionnons le mode de réglage manuel. Il semble qu'il soit le dernier de la liste des options proposées par le maître.
    1.3. Après avoir démarré RASS, nous commençons sa configuration.

    1.4. Accédez aux propriétés du serveur RASS (cliquez avec le bouton droit de la souris sur l'icône du serveur avec la flèche verte et sélectionnez PROPRIÉTÉS).

    1.5 Dans l'onglet GENERAL, sélectionnez le mode LAN AND ROLLER ROUTER ON REQUIREMENT et le serveur d'accès distant, cliquez sur OK et redémarrez RASS.

    1.6. Encore une fois, accédez aux propriétés du serveur RASS dans l'onglet SAFETY.

    1.7. Ici dans la section CHECK SERVICE
    AUTHENTICITÉ nous spécifions l’authentification RADIUS et nous appuyons sur le bouton SET UP puis, dans la fenêtre ouverte, sur le bouton ADD.

    1.8. Si UTM-RADIUS est installé sur le même ordinateur, dans le champ NOM DU SERVEUR, nous écrivons 127.0.0.1. Si UTM-RADIUS est sur un autre ordinateur, spécifiez son adresse IP.

    1.9. Dans le champ SECRET, appuyez sur le bouton CHANGE, écrivez le secret et confirmez à nouveau.

    1.10. Nous ne touchons pas le délai d'attente, l'estimation initiale et le port. Le port doit être - 1812. Assurez-vous de cocher TOUJOURS UTILISER LA CARTE DE MESSAGE et cliquez sur OK.
    1.11. Maintenant, dans le SERVICE COMPTABLE, sélectionnez Comptabilité RSDIUS et cliquez sur le bouton CONFIGURER.

    1.12. Dans la fenêtre qui apparaît, nous appuyons sur le bouton AJOUTER.

    1.13. Le NOM DU SERVEUR est également 127.0.0.1, Secret - secret, port - 1813, nous laissons le délai d’expiration et l’évaluation initiale par défaut, ne cochez pas le COMPTE RADIUS MESSAGE ON / DISABLE. Appuyez sur OK.
    1.14. Nous allons utiliser PPTP pour les connexions VPN, donc la case à cocher ENABLE USER IPSEC POLICIES pour L2TP CONNECTIONS ne nous intéresse pas et nous ne la configurons pas.

    1.15. Allez sur l'onglet IP. Il y a généralement une chose très intéressante.

    1.16. Commencez par mettre toutes les cases à cocher de cet onglet (il y en a trois).
    1.17. En tant qu’adaptateur permettant d’obtenir les adresses de serveur DHCP, DNS et WINS pour les clients VPN, nous sélectionnons un adaptateur d’interface compatible avec Internet. Toutes les demandes aux utilisateurs VPN seront transmises à partir de celui-ci.

    1.18. Maintenant la partie amusante. Pour que l'interface interne RASS reçoive une IP, qui servira de serveur IP lorsqu'un client VPN est connecté via un tunnel PPTP via PPP, dans la section PURPOSE IP ADDRESSES, sélectionnez la STATIC ADDRESS BOX et spécifiez cette adresse IP ici. Mais, pour une raison quelconque, la glorieuse société Microsoft a décidé que RASS ne fonctionnerait qu’avec Windows-RADIUS et sans autre. Par conséquent, lors de la définition d'un groupe d'adresses statique, Microsoft a vérifié le nombre d'adresses dans le groupe et a estimé qu'il devrait y en avoir au moins deux. Cela est vrai uniquement lorsque vous utilisez Windows-RADIUS, où les adresses IP du client et du serveur sont extraites de ce pool. Dans notre cas, à partir de ce pool, seule l'adresse du serveur est prise en compte et le client se voit attribuer l'adresse par UTM. À première vue, il n'y a pas de problèmes. Si ce n'est pas pour les utilisateurs vils. Comme le montre la pratique, si un utilisateur donne son nom d'utilisateur et son mot de passe pour VPN et se connecte en même temps, le premier qui se connecte à partir de celui-ci obtient l'adresse IP de UTM et le second de ce pool. Le problème est que le trafic ne sera compté que sur l'adresse IP enregistrée dans l'UTM, et le deuxième utilisateur s'installera gratuitement. Mais tout n'est pas si mauvais. Quittez les propriétés du serveur RASS (cliquez sur le bouton OK ci-dessous). Nous attendons le bouton Démarrer, puis Exécuter et écrire une commande

    netsh ras ip add gamme 192.168.2.254 192.168.2.254

    Encore une fois, nous allons dans les propriétés du serveur RASS dans l'onglet IP et observons un pool statique de la même adresse 192.168.2.254. Problème résolu. À propos, le réseau que nous utiliserons pour le VPN sera - 192.168.2.0/255.255.255.0.

    1.19. Allez sur l'onglet PPP et décochez les items CONNEXIONS MULTI-CANAUX et DONNÉES DE PROGRAMMATION. Cochez la case EXTENSION DU PROTOCOLE DE CONTRÔLE DE LA COMMUNICATION (LCP).

    1,20. Allez à l'onglet LEADING MAGAZINE. Choisissez l'élément NOUVELLES ERREURS ET AVERTISSEMENTS DU MAGAZINE. Il est nécessaire, à titre informatif, de savoir qui et quand il est connecté au RASS via un réseau privé virtuel. Le journal des informations supplémentaires est inutile d'inclure.

    1.21. Maintenant fastidieux de configurer des ports virtuels pour les connexions VPN.

    1,22. Accédez aux propriétés des ports (cliquez avec le bouton droit sur le PORT et sélectionnez PROPRIÉTÉS).

    1.23. Configurez séquentiellement chaque type de port dans la liste. Sélectionnez L2TP et pointez dans SETUP. Supprimez toutes les cases à cocher et définissez le nombre maximal de ports sur 0. Sélectionnez PPPoE, puis cliquez sur CONFIGURER. Supprimer toutes les cases à cocher. Sélectionnez PPTP, cliquez sur SETUP. Activez la case à cocher UNIQUEMENT, supprimez la coche INCLUS ET SORTIE. Le nombre maximal de ports est défini sur 128. (Il s'agit du nombre de personnes pouvant se connecter à un VPN en même temps. Si vous n'en avez pas autant besoin, vous pouvez en mettre moins. Cela n’affecte pas la météo.) Sélectionnez Direct Parallel et décochez toutes les cases. Cet élément peut ne pas exister si le serveur ne dispose pas d'un port parallèle pour l'imprimante ou s'il est désactivé dans le BIOS.
    En fin de compte, il devrait y avoir une telle image.

    1.24. Passage au routage IP.

    1,25. Ici, il est nécessaire de déterminer immédiatement le pare-feu. Si votre serveur n'est pas un pare-feu tiers, vous devez le gérer séparément. Si c'est ISA, alors il doit être démoli. Il n'est pas nécessaire de travailler avec un VPN. Le problème avec le pare-feu est très grave - la décision finale quant à l’utilisation du pare-feu est à vous. Je peux seulement dire que dans la version de base, vous pouvez configurer le pare-feu intégré au RASS, même s’il est très court, mais la tâche de distribution du trafic s’effectue presque complètement.

    1,26. Nous passons la souris GÉNÉRALE dans la fenêtre de gauche et vérifions quelles interfaces sont présentes dans la fenêtre de droite. Il doit y avoir à la fois des interfaces réseau (qui se tournent vers Internet et un réseau local), l’interface interne et l’interface Short to Itelf, c.-à-d. dans votre cas, 4 interfaces. S'il n'en existe pas ou qu'il en manque, vous devez les ajouter en cliquant sur l'espace vide dans la fenêtre de droite et en sélectionnant l'élément NOUVEL INTERFACE.

    1,27. Dans notre cas, le routage IP doit contenir 3 éléments GENERAL, STOUT ROUTES et NAT / SIMPLE BRANDMAUER. S'il n'y a pas quelque chose ou quelque chose d'autre est présent, alors l'excédent doit être retiré, et le nécessaire doit être ajouté en cliquant sur GÉNÉRAL et en sélectionnant le NOUVEAU PROTOCOLE DE ROUTAGE.

    1.28. Item ROUTES STATIQUES nous n'avons pas besoin. Il doit être vide. Nous ne pouvons pas le supprimer - il fait partie intégrante de RASS. Allez directement au NAT.

    1.29. NAT est nécessaire pour convertir les adresses globales en adresses locales et inversement. Poke la souris dans NAT. Dans la fenêtre de droite, ajoutez une interface qui ressemble à Internet et accédez à ses propriétés (cliquez dessus avec le bouton droit de la souris et sélectionnez PROPRIÉTÉS)


    1,30. Nous déclarons qu'il s'agit d'une interface commune pour la connexion à Internet et cochons la case Activer le NAT SUR CETTE INTERFACE. La deuxième case à cocher ACTIVER MAAND BRANDMAUER POUR CETTE INTERFACE n'a pas besoin d'être définie si vous avez un pare-feu. S'il n'y a pas de pare-feu, vous devez l'installer, sinon votre serveur sera visible sur Internet. Cliquez sur OK Il n'y a plus rien à configurer dans NAT.

    1.31. Maintenant, si vous avez un pare-feu, la configuration RASS peut être considérée comme terminée. Si vous ne le possédez pas, vous devez configurer des filtres de paquets pour bloquer la distribution d'Internet sur le réseau local et le placer dans un réseau privé virtuel.

    1,32. Pour ce faire, nous allons au général et allons aux propriétés de l'interface, en regardant dans le réseau local. POUSSOIR LE bouton FILTRES DE SORTIE. Dans la fenêtre ouverte, cliquez sur le bouton CRÉER. Nous cochons le RÉSEAU INITIAL et y enregistrons notre réseau local. Dans votre cas, 192.168.1.0/255.255.255.0. Nous disons bien. Nous pressons la deuxième fois pour créer. Nous sélectionnons le réseau source et enregistrons l'adresse IP du serveur VPN. Dans notre cas, 192.168.2.254/255.255.255.255. Nous disons bien. Nous sélectionnons en haut de l’action de filtrage - REJETER TOUS LES COLIS, SAUF CELUI QUI RÉPOND AU CRÉTE SOUS RÉSERVE, puis cliquez sur OK.

    1,33. TOUS !!! Maintenant RASS est installé !!!


    2. Installation d’UTM.


    2.1. Exécutez le UTM5Setup. Langue, sélectionnez, respectivement, le russe.

    2.2. Tout d'abord mettre la voiture JAVA.

    2.3. Nous redémarrons UTM5Setup. Maintenant, nous mettons tout le reste en décochant JAVA. Avec l'installation ultérieure, il n'y a pas de subtilités. Une fois l'installation terminée, vous devez vous rendre sur les services et voir que MySQL-NT et UTM5_CORE sont en cours d'exécution. Si tout fonctionne, alors super.

    2.4. Ensuite, définissez RADIUS. Il n'y a jamais de problèmes avec lui.

    2.5. Maintenant NDSAD. Il y a beaucoup de problèmes ici. Pour que NDSAD puisse collecter le trafic sur un VPN, le pilote WinPCAP doit être à la version 3.1 et ultérieure.

    2.6 Après le redémarrage, le service ndsad devrait démarrer. S'il ne démarre toujours pas, le port 9996 est occupé sur le serveur, que ndsad utilise pour communiquer avec UTM.

    2.7 Maintenant nous installons (si ce service n'apparaît pas dans les services) utm5_rfw. Pour ce faire, exécutez la commande:

    utm5_rfw.exe --install.

    Après cela, utm5_rfw devrait apparaître dans les services.

    2.8. Nous avons maintenant besoin d’un autre programme qui ne fait pas partie d’UTM, mais sans lequel vous ne pouvez pas gérer les interruptions des connexions VPN des utilisateurs, dont le solde est passé à 0. C’est le programme utm5_kill_vpn.exe. Lorsque j'ai lancé UTM pour la première fois, j'ai découvert qu'en travaillant avec RASS Windows, les développeurs ne disposent pas d'un mécanisme permettant de désactiver les connexions VPN. À propos, éteindre Internet est le problème le plus sensible dans la plupart des systèmes de facturation. C'est bien qu'ils aient même écrit utm5_rfw, ce qui vous permet de transférer le contrôle sur d'autres programmes, sinon ce serait un tuyau. Ce programme doit être copié à la racine du disque c: Le schéma d’arrêt fonctionne comme ceci. UTM détecte que le solde de l'utilisateur est devenu négatif. Elle donne la commande utm5_rfw, pour déconnecter l'utilisateur. Utm5_rfw appelle utm5_kill_vpn et donne la commande Windows RASS pour mettre fin à la connexion VPN d'un utilisateur spécifique.

    (Pour que le GAP se produise automatiquement =), dans l'UTM, allez dans RÈGLES DE PARE-FEU, cliquez sur le bouton MISE À JOUR. Supprimer tout sauf le premier. Premier appel pour édition. Mettez une coche - Tous les utilisateurs. ID utilisateur - 0, groupe ID - 0, tarif ID - 0, activé - ne rien écrire (doit être vide), arrêt - c: /utm5_kill_vpn.exe ULOGIN, pare-feu ID - 1. La variable ULOGIN contient le nom de la connexion VPN et est transmise. utm5_kill_vpn.exe pour désactiver le VPN correspondant.)


    2.9 Il semble que tout est installé. Maintenant, allez dans les paramètres.




    3. Configurez UTM


    3.1. Fichiers de configuration

    3.1.1. UTM5.CFG

    type_base_de_données = mysql - type de base de données
    database = utm5 - nom de la base de données
    database_host = 127.0.0.1 - IP de l'ordinateur avec la base de données
    database_login = root - connexion à la base de données
    database_password = - mot de passe de la base de données (sans mot de passe)

    urfa_bind_host = 0.0.0.0 - IP depuis laquelle nous nous connectons à la base de données (depuis n'importe lequel)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - bibliothèques pour modules externes
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - Port de connexion NDSAD


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - IP sur laquelle l’UTM est situé
    core_port = 11758 - Port de connexion UTM

    radius_login = radius - connexion de l'utilisateur système
    radius_password = radius - mot de passe de l'utilisateur système

    radius_auth_mppe = enable - autorisation VPN

    radius_auth_vap = 1 - n'autorise pas avec un solde négatif

    radius_ssl_type = none - type de cryptage (désactivé)

    radius_ippool_timeout = 0 - délai de réautorisation (immédiatement)
    radius_ippool_acct_timeout = 0 - Libère l'adresse IP immédiatement après une interruption de réseau privé virtuel


    3.1.3. RFW5.CFG

    nom_rfw = 127.0.0.1 - nom du pare-feu (IP est utilisée)

    firewall_type = local - type de pare-feu (local)

    core_host = 127.0.0.1 - Adresse IP UTM
    core_port = 11758 - port pour la communication avec UTM

    rfw_login = web - connexion de l'utilisateur système
    rfw_password = web - mot de passe de l'utilisateur système

    3.1.4. NDSAD.CFG

    dummy all - désactive la collecte de statistiques à partir de tout périphérique, à l'exception de ceux spécifiés dans la commande force, nous allons collecter le trafic uniquement sur VPN

    force \ Device \ NPF_GenericDialupAdapter - Mode de collecte de statistiques VPN

    nf_lifetime 1 - rompt instantanément la session lorsque le solde de l'utilisateur dépasse 0


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - Adresse IP UTM

    web_login = web - login de l'utilisateur système

    web_password = web - mot de passe de l'utilisateur système


    3.1.6. Une fois les fichiers de configuration corrigés, vous devez redémarrer l'ordinateur pour que toutes les modifications prennent effet.

    4. fichiers:


    Nom: NDSAD_setup_1_33.exe
    Lien pour télécharger le fichier: http://ifolder.ru/10599261

    Nom: utm5_kill_vpn.exe
    Lien vers le fichier à télécharger: http://ifolder.ru/10599276

    UTM5 peut être téléchargé à l'adresse http://www.netup.ru/

    Également inclus dans le kit YuTM Apache and muscle. Vous devrez également installer OpenSSL et signer des certificats pour vous connecter à l’administrateur Web, bien qu’il existe d’autres solutions Web.